Un cadre légal au niveau européen : le RGPD
Depuis 2018, la protection des données est encadrée par le RGPD ou Règlement européen sur la protection des données. L’objectif est double : renforcer le droit des personnes dont les données sont traitées, mais aussi responsabiliser les entreprises.
La principale notion à retenir, c’est celle du consentement. Au sein de l’Union Européenne, le consentement doit être explicite. Par exemple, si vous insérez un formulaire pour collecter des e-mails sur votre site, vous ne devez pas cocher par défaut les cases du type « j’accepte que mes données soient traitées ». L’utilisateur doit consentir de façon active et positive.
Le RGPD s’inscrit dans une logique de transparence. C’est pour cela que toutes les organisations qui utilisent des données personnelles doivent suivre de près leurs activités de traitement des données et en conserver une archive. Les consentements doivent également être conservés à titre de preuve.
Attention : le RGPD s’applique aussi aux fichiers papier qui contiennent des données concernant des personnes physiques.
L’obligation de tenir un registre
Pour répondre à vos obligations de documentation et de transparence, vous devez mettre en place un registre des activités de traitement des données personnelles. Ce registre est obligatoire et sera réclamé par la CNIL (Commission Nationale de l'Informatique et des Libertés) en cas de contrôle.
Le registre remplit plusieurs fonctions. Il vous permet de :
- Inventorier l’ensemble des fichiers de données personnelles (paie, clients, prospects…)
- Identifier précisément les parties prenantes intervenant dans le traitement des données
- Analyser les données traitées : à quoi servent-elles, qui peut y accéder, à qui sont-elles transmises, combien de temps sont-elles conservées…
En créant et en actualisant régulièrement le registre, vous pourrez faire le point et vous poser les bonnes questions. Avez-vous besoin de telle ou telle données ? Est-il pertinent de les conserver autant de temps ? Le niveau de sécurisation est-il suffisant ?
N’hésitez pas à utiliser le modèle de registre simplifié mis à disposition par la CNIL.
Les données personnelles et les cookies
À partir du moment où une information permet d’identifier quelqu’un, il s’agit d’une donnée personnelle : e-mail, nom, prénom, adresse, téléphone, etc.
De ce fait, la plupart des entreprises sont concernées par la gestion des données personnelles, qu’elles sont obligées de recueillir pour échanger avec leur personnel, leurs clients, leurs fournisseurs…
Et avec le développement des sites Internet, il faut prendre en compte un autre élément : les cookies ou traceurs. Ce sont des petits fichiers informatiques, déposés et lus à chaque fois qu’un utilisateur consulte un site, installe un logiciel, utilise une application, lit un e-mail. Ils permettent ainsi de retracer l’ensemble des activités d’une personne, quel que soit le type d’appareil utilisé.
Il faut savoir que les cookies représentent l’un des moyens les plus courants de collecter des données personnelles sur Internet. C’est pourquoi leur gestion doit faire l’objet d’une attention particulière.
Comment gérer les cookies en toute conformité ?
La CNIL avait fixé une période d’adaptation pour permettre aux éditeurs de sites de se conformer aux règles en matière de cookies. Cette période de tolérance ayant pris fin au 31 mars 2021, vous devez vous assurer que votre gestion est conforme.
Le principe, c’est que le refus des cookies doit être aussi simple que l’acceptation. Voici les lignes directrices de la CNIL pour recueillir le consentement des utilisateurs en toute conformité :
- Informer l’utilisateur sur l’existence et la finalité des cookies
- Donner la possibilité à l’utilisateur de consentir de façon explicite : avec par exemple des cases à cocher (décochées par défaut)
- Distinguer le consentement par finalité : l’utilisateur doit pouvoir choisir de façon indépendante et spécifique de consentir à chaque usage
- Permettre à l’utilisateur de retirer son consentement à tout moment.
Concrètement, cela peut passer par l’insertion d’un bandeau ou d’une fenêtre pop-up, qui peuvent intégrer des liens hypertextes. En fonction de votre système de gestion de contenu, vous pourrez activer une extension qui propose ces fonctionnalités, à condition de bien vérifier les paramètres.
L’importance de sécuriser votre système d’informations
Le piratage des données personnelles peut avoir des conséquences dévastatrices pour les personnes concernées. La divulgation d’informations privées tout d’abord. Mais cela peut aussi conduire à des dommages matériels (cambriolage notamment).
Il faut donc procéder à une analyse des risques en matière de sécurité informatique pour mettre en place les actions adaptées. Parmi les mesures basiques :
- Définir et sécuriser les modalités d’accès aux données sensibles : avec des mots de passe régulièrement changés par exemple
- Installer un antivirus et le mettre régulièrement à jour
- Prévoir une procédure en cas de vol des données : la CNIL doit notamment être informée dans les 72 heures.
Notre mission : vous accompagner dès la création de votre entreprise. De la domiciliation aux formalités juridiques pour commencer. Puis au fur et à mesure de vos besoins : la prise en charge de votre comptabilité et de vos obligations fiscales, le transfert de votre siège social, la gestion des convocations d'AG, etc. Contactez-nous dès maintenant !
